[发明专利]一种ceph分布式文件系统存储国密加固方法及系统

权利要求书

1.一种ceph分布式文件系统存储国密加固方法，其特征在于，包括如下步骤：

在预设通信协议的基础上加入基于国密算法SM2/SM3/SM4的TLS/SSL双向认证；

建立国密可信传输通道；

基于国密算法SM3/SM4对服务端存储的数据进行国密加固。

2.根据权利要求1所述的一种ceph分布式文件系统存储国密加固方法，其特征在于，所述步骤基于国密算法SM3/SM4对服务端存储的数据进行国密加固之前，还包括：

预置SM4国密算法的第二密钥。

3.根据权利要求1所述的一种ceph分布式文件系统存储国密加固方法，其特征在于，所述步骤在预设通信协议的基础上加入基于国密算法SM2/SM3/SM4的TLS/SSL双向认证的方法，具体操作包括：

将OpenSSL源码的密码算法文件修改为SM2/SM3/SM4国密算法；

利用OpenSSL生成国密算法SM2/SM4对应的密钥。

4.根据权利要求1～3任一项所述的一种ceph分布式文件系统存储国密加固方法，其特征在于，所述步骤建立国密可信传输通道方法，包括：

步骤S201、客户端和服务端分别向公共的CA管理平台申请基于SM2国密算法的数字证书；

步骤S202、客户端向分布式文件系统存储的服务端发送TSL/SSL信息，并产生随机数A；其中，所述TSL/SSL信息包括客户端支持的国密算法及SSL协议的版本；

步骤S203、服务端回应确定使用的SSL协议的版本及选择SM2国密算法，产生随机数B，并从服务端秘钥库中取出要使用的SM2公钥及步骤S201中申请的数字证书发送给客户端；

步骤S204、客户端在接收到SM2公钥及数字证书后，通过CA管理平台以及SM3国密算法验证数字证书是否具有合法性及完整性；如是，则转入步骤S205；如否，则客户端返回不安全的警告信息；

步骤S205、客户端发送步骤S201中申请的数字证书及SM2公钥给服务端；

步骤S206、服务端对客户端发送的SM2公钥及数字证书通过CA公共管理平台进行校验；

步骤S207、客户端发送需要使用SM4国密算法为用户后续数据进行加密的方案给服务端；

步骤S208、服务端收到步骤S207中客户端发送的方案后，考虑SM4国密算法的加密效率，同意使用SM4国密算法对通信报文进行加解密；

步骤S209、客户端根据随机数A和B生成随机码R，随机码R作为SM4国密算法加密的密钥，并使用服务端的SM2公钥对随机码R进行加密，获得加密随机码R并发送给服务端；

步骤S210、服务端使用SM2私钥对加密随机码R进行解密，获得SM4国密算法的第一密钥；

步骤S211、客户端与服务端之间基于国密算法SM2/SM3/SM4的TLS/SSL双向认证建立国密可信传输通道。

5.根据权利要求4所述的一种ceph分布式文件系统存储国密加固方法，其特征在于：所述步骤S211之后，还包括

步骤S212、通过SM3国密算法验证客户端和服务端在数据通信过程中的通信报文的完整性。

6.根据权利要求1～3任一项所述的一种ceph分布式文件系统存储国密加固方法，其特征在于，当客户端发起写入请求操作时，所述步骤基于国密算法SM3/SM4对服务端存储的数据进行国密加固的方法，具体操作包括：

步骤S310a、客户端发起写入请求信息，其中，写入请求信息包括待写入数据；

步骤S320a、调用SM4国密算法对待写入数据进行加密，获取加密后的待写入数据；

步骤S330a、调用SM3国密算法校验待写入数据是否具有完整性；若是，则转入步骤S340a；若否，则客户端返回不安全警告信息，停止客户端与服务端之间的数据通信；

步骤S340a、服务端存储加密后的待写入数据。